CVE-2026-28576
Moderat

CVE-2026-28576: SQL-injection i Android 17 Kontakter

Fejl i Android 17 giver apps adgang til dine kontakter via SQL-injection uden særlige tilladelser.

CVSS Score
5.5
Offentliggjort
17/06/2026
Patch-status
in_development
Exploit
theoretical
Tidsfrist
Opdater så snart patch er tilgængelig

Hvad er det?

CVE-2026-28576 er en sårbarhed i Android 17’s Contacts Provider — den del af systemet, der styrer adgang til din kontaktliste. Fejlen er en såkaldt SQL-injection (en teknik hvor en angriber sniger ekstra databasekommandoer ind i en forespørgsel), som gør det muligt for en ondsindet app at læse hele kontaktdatabasen uden at have fået lov til det. Angrebet kræver ingen særlige systemrettigheder og ingen handling fra brugeren — appen skal blot være installeret på telefonen.

Hvem rammer det?

Sårbarheden rammer enheder, der kører Android 17. Det betyder:

  • Medarbejdere i din virksomhed med Android 17-smartphones eller -tablets
  • Virksomheder der bruger Android-enheder til kundeservice, salg eller feltarbejde
  • Alle der har forretningskontakter, kunderelationer eller følsomme persondata gemt i telefonens kontaktliste

Er I endnu ikke på Android 17, er I ikke direkte berørt af netop denne sårbarhed.

Hvad kan ske?

En skadelig app — for eksempel en tilsyneladende uskyldig gratis app downloadet uden for Google Play — kan udnytte fejlen til at læse hele din kontaktliste, herunder navne, telefonnumre, e-mailadresser og andre oplysninger gemt på enheden. Det kan føre til:

  • Lækage af kundedata og forretningskontakter til uvedkommende
  • Brud på GDPR-reglerne, hvis persondata kompromitteres (en databrudshændelse skal anmeldes til Datatilsynet inden 72 timer)
  • Målrettede phishing- eller svindelforsøg mod dine kontakter

Angrebet er lokalt, dvs. appen skal allerede være installeret — en angriber kan ikke udnytte fejlen direkte fra internettet.

Hvor alvorligt er det?

CVSS-scoren er 5,5 ud af 10 (Moderat). Sårbarheden påvirker kun fortrolighed (dine data kan læses), ikke systemets stabilitet eller muligheden for at ændre data. At angrebet er lokalt — appen skal installeres på enheden — begrænser risikoen sammenlignet med fjernangreb. Alligevel er konsekvensen alvorlig for virksomheder med persondataansvar, da kontaktdata typisk er beskyttede personoplysninger under GDPR.

Hvad gør jeg nu?

Følg disse trin for at beskytte din virksomhed:

  1. Tjek Android-version: Gå til Indstillinger → Om telefon → Android-version på alle virksomhedens enheder og notér, hvilke der kører Android 17.
  2. Installér sikkerhedsopdateringer straks: Når Google udsender en patch til Android 17, skal den installeres hurtigst muligt. Gå til Indstillinger → Systemopdatering og tjek for ventende opdateringer.
  3. Gennemgå installerede apps: Sørg for, at medarbejdere kun installerer apps fra Google Play og godkendte forretningskilder. Fjern apps fra ukendte udviklere.
  4. Aktivér app-begrænsninger via MDM: Bruger I et Mobile Device Management-system (MDM — software til centralstyring af mobiler), kan I begrænse, hvilke apps der må installeres på virksomhedens enheder.
  5. Informér medarbejderne: Send en kort besked om ikke at installere nye apps, før opdateringen er på plads.
Tidsfrist

Opdater så snart patch er tilgængelig

Sådan ser Auroa det

Hold øje med Googles månedlige Android-sikkerhedsbulletiner, og installer opdateringen til Android 17, så snart den er tilgængelig. I mellemtiden bør I sikre, at kun godkendte apps er installeret på virksomhedens enheder — helst via et MDM-system. Da kontaktdata er personoplysninger, anbefaler vi desuden, at I dokumenterer jeres håndtering af denne sårbarhed som en del af jeres GDPR-risikovurdering, så I er forberedt, hvis Datatilsynet stiller spørgsmål.

Tidslinje

17/06/2026
CVE offentliggjort
Google og NVD offentliggjorde CVE-2026-28576 som en del af Googles månedlige Android-sikkerhedsbulletin. Sårbarheden klassificeres som Moderat (CVSS 5,5).
17/06/2026
Ingen kendte exploits
På offentliggørelsestidspunktet er der ikke registreret aktiv udnyttelse af sårbarheden i naturen. Risikoen er teoretisk, men reel for enheder med usikrede apps.
09/07/2026
Patch forventes i sikkerhedsopdatering
Google forventes at inkludere en rettelse i en kommende månedlig Android-sikkerhedsopdatering. Tidspunktet er endnu ikke bekræftet. Hold øje med Googles officielle Android Security Bulletin.

Konkrete eksempler

Skadelig app fra tredjepart stjæler kontakter

En medarbejder downloader en gratis produktivitetsapp fra en uofficiel hjemmeside. Appen indeholder skjult kode, der udnytter SQL-injection-fejlen til at forespørge Androids kontaktdatabase og sende hele kontaktlisten til en ekstern server. Virksomhedens kundedata er nu i hænderne på en ukendt tredjepart — uden at medarbejderen har gjort noget mærkeligt.

Populær app opdateres med ondsindet kode

En app, som medarbejderne har brugt i årevis, udgiver en opdatering, der indeholder skadelig kode (et såkaldt supply chain-angreb). Den opdaterede app udnytter sårbarheden til lydløst at kopiere kontaktlisten, inden virksomheden når at reagere. Fordi appen kommer fra en betroet kilde, vækker den ingen mistanke.

Konkurrent eller spion kortlægger forretningsnetværk

En målrettet angriber distribuerer en tilsyneladende harmløs app til ansatte i en specifik branche. Via SQL-injection-fejlen udtrækker appen navne og kontaktoplysninger på virksomhedens kunder, leverandører og partnere. Disse oplysninger bruges til at kortlægge virksomhedens netværk og planlægge yderligere angreb eller konkurrencemæssig spionage.

Ofte stillede spørgsmål

Ramte produkter

Google — Android

17.0

CVSS-detaljer

Attack Vector
LOCAL
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
NONE
Availability
NONE

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

CWE-svaghedstyper

CWE-89

Original NVD-beskrivelse (engelsk)

In Contacts Provider, there is a possible way to access the contacts database due to SQL injection. This could lead to local information disclosure with no additional execution privileges needed. User interaction is not needed for exploitation.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Moderat
CVSS Base Score
5.5
Visning
Hurtige fakta
CVE-ID
CVE-2026-28576
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
theoretical
Patch-status
in_development
Tidsfrist
Opdater så snart patch er tilgængelig

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.